Certaines fonctions de vérification orthographique étendues ajoutées aux navigateurs web Google Chrome et Microsoft Edge laissent échapper des informations sensibles en les transmettant à leurs maisons-mères.
Une analyse réalisée par la société de sécurité JavaScript otto-js a révélé que la plupart des utilisateurs activent des fonctions qu'ils croient bénéfiques pour leur productivité. Cependant, ces derniers divulguent des informations personnelles (noms d'utilisateur, e-mails, mots de passe, etc.) aux éditeurs respectifs de ces navigateurs.
Les éditions standards des deux navigateurs web disposent de fonctions de vérification orthographique, activées par défaut, qui ne transmettent pas de données à Google ou à Microsoft. La fonction "Vérification orthographique améliorée" de Chrome et l'"Éditeur Microsoft" d'Edge sont des modules complémentaires exclusivement facultatifs que les utilisateurs doivent autoriser explicitement. S'il est clairement indiqué que vos données seront renvoyées aux deux sociétés afin d'améliorer les produits, il n'est pas mentionné aussi explicitement que vos informations personnelles identifiables (PII) pourraient faire partie de ce transfert de data.
Évitez de cocher cette case
En exploitant la plupart des champs de texte d'une page Web, les deux outils ont accès à "pratiquement tout", selon otto-js. Cela signifie que toutes les données que vous saisissez en ligne, y compris votre date de naissance, vos détails de paiement, vos coordonnées et vos identifiants de connexion, pourraient être renvoyées à Google et à Microsoft.
La plupart des sites web qui bloquent les mots de passe en ligne masquent ces informations très sensibles aux outils de vérification orthographique. Mais lorsqu'un utilisateur clique pour découvrir le texte (peut-être pour vérifier s'il l'a tapé correctement), les informations sont ensuite exposées.
Bleeping Computer a mis en lumière la transmission de noms d'utilisateur à SSA.gov, Bank of America et Verizon, en utilisant Chrome. Les mots de passe étant également exposés auprès de Facebook uniquement lorsque l’utilisateur a cliqué sur le bouton "Afficher le mot de passe".
Pour minimiser l'exposition, les développeurs Web peuvent inclure la requête "spellcheck=false" dans tous les champs de saisie exposant des informations sensibles. Ce qui bloque effectivement ces champs pour les outils de vérification orthographique, même si cela signifie bien sûr que le correcteur orthographique sera désactivé dans ces entrées.
Pour l'utilisateur, la désactivation temporaire des vérificateurs d'orthographe améliorés ou leur suppression complète du navigateur semblent être les seuls moyens de protéger les données, du moins jusqu'à ce que l'une ou l'autre des entreprises révise sa politique de confidentialité.
- Meilleurs gestionnaires de mots de passe : protégez plus efficacement vos identités numériques
- Meilleurs antivirus en ligne : quel service de sécurité basé sur le cloud est le plus fiable
- Voici les meilleurs navigateurs web de 2022
